I ricercatori di Cisco Talos hanno scoperto una nuova famiglia di malware che prende di mira le app di messaggistica più diffuse come WhatsApp, Facebook Messenger e Line su dispositivi Android per raccogliere informazioni sulle vittime.
Il malware, soprannominato WolfRAT, si basa su un malware precedentemente trapelato chiamato DenDroid ed è stato identificato in campagne destinate agli utenti tailandesi e ai loro dispositivi.
Secondo i ricercatori, il malware è gestito da Wolf Research, un gruppo spyware che sviluppa e vende malware basato sullo spionaggio ai governi.
WolfRAT inizia la sua catena di infezione attraverso falsi richiami che abusano di servizi legittimi come Google Play o aggiornamenti Flash, utilizzando le loro icone e i nomi dei pacchetti. Una volta scaricato il RAT si installa sul dispositivo Android di destinazione ed esegue funzioni di spionaggio, tra cui la raccolta di dati del dispositivo, l’acquisizione di foto e video, la compromissione della messaggistica SMS, la registrazione dell’audio e il furto e il trasferimento di file su server C2.
In particolare, il malware mira alle app di Messenger a causa delle funzioni di esfiltrazione dei contenuti insieme al furto delle cronologie del browser. Se in un uso su WhatsApp avvia una funzione di registrazione dello schermo a intervalli di 50 secondi che si arresta solo quando l’app è chiusa.
Nonostante WolfRAT imiti servizi come Google, GooglePlay o aggiornamenti Flash per i cittadini thailandesi, Talos ha riferito che il malware non è avanzato in quanto si basa su sovrapposizioni di codice e copia / incolla di fonti pubbliche disponibili su Internet e, molto probabilmente, è usato come strumento di raccolta di informazioni per gli attori che possono essere confezionate e vendute.
https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html
